### Der Fehler bei der KI-gestützten Kontowiederherstellung Der Vorfall, den **Meta** am 31. Mai 2026 entdeckte und der wahrscheinlich bereits am 17. April begann, nutzte es Angreifern, eine kritische Designschwäche im **Instagram** **High Touch Support (HTS)**-Tool auszunutzen. Dieses KI-gestützte System ist darauf ausgelegt, Benutzern den Zugriff auf gesperrte Konten zu erleichtern. Ein Fehler in einem separaten Code-Pfad verhinderte jedoch, dass **HTS** ordnungsgemäß verifizierte, dass eine für eine Passwort-Zurücksetzungsanfrage angegebene E-Mail-Adresse tatsächlich mit dem Ziel-**Instagram**-Konto verknüpft war. Diese Nachlässigkeit ermöglichte es unbefugten Dritten, Passwort-Zurücksetzungslinks für Konten anzufordern, die ihnen nicht gehörten, und diese Links an ihre eigenen E-Mail-Adressen weiterzuleiten. Nach Erhalt und Nutzung dieser Links konnten Angreifer Konten, bei denen die Zwei-Faktor-Authentifizierung (2FA) nicht aktiviert war, einloggen und kapern. **Amber Hannah**, **Meta**s stellvertretende General Counsel für Incident Response Legal, erläuterte die Schwachstelle in einer Benachrichtigung über Datenpannen, die beim **Büro des Generalstaatsanwalts von Maine** eingereicht wurde. Sie erklärte: „Das Tool selbst funktionierte ordnungsgemäß und wie vorgesehen; aufgrund eines Fehlers in einem separaten Code-Pfad verifizierte das System jedoch nicht ordnungsgemäß, dass die vom Antragsteller angegebene E-Mail-Adresse mit der E-Mail-Adresse übereinstimmte, die mit dem **Instagram**-Konto dieses Benutzers verknüpft ist.“ ### Umfang und potenzielle Datenexposition Anfänglich deuteten Berichte auf ein weit verbreitetes Problem hin, wobei **Meta** bestätigte, dass 20.225 **Instagram**-Benutzer kompromittierte Konten hatten. Für Benutzer im Zuständigkeitsbereich von Maine waren speziell 30 Konten betroffen.  Obwohl **Meta** angab, keine endgültigen Informationen darüber zu haben, welche persönlichen Daten abgerufen oder gestohlen wurden, bedeutet die Art der Kontenübernahme, dass Angreifer potenziell auf eine breite Palette sensibler Informationen zugreifen konnten. Dazu gehören Kontaktdaten (E-Mail und/oder Telefonnummer), Geburtsdaten, alle Social-Media-Beiträge und Inhalte (Fotos, Videos, Stories), Direktnachrichten und Kommunikation, Kontoaktivitäten, Profilinformationen (Biografie, Profilfoto) und alle anderen verbundenen Konten oder verknüpften Dienste. ### Metas schnelle Reaktion und Behebung Nach der Entdeckung des Exploits handelte **Meta** schnell, um den Einbruch einzudämmen. Das Unternehmen deaktivierte das KI-gestützte **HTS**-Supportsystem und machte alle durch den fehlerhaften Prozess generierten Passwort-Zurücksetzungslinks ungültig, wodurch weitere Übernahmeversuche effektiv blockiert wurden. **Andy Stone**, **Meta**s Vizepräsident für Kommunikationsangelegenheiten, bestätigte die Lösung öffentlich und erklärte, dass das „Problem behoben wurde und wir die betroffenen Konten sichern.“ Alle potenziell kompromittierten Konten wurden einer obligatorischen Sicherheitsüberprüfung unterzogen, bei der betroffene Benutzer ihre Passwörter zurücksetzen und sich erneut authentifizieren mussten, um die Kontrolle wiederzuerlangen. Für die Zukunft hat **Meta** zugesagt, die Authentifizierungsprüfung im **Instagram**-Wiederherstellungseinstiegspunkt zu beheben, um eine ordnungsgemäße E-Mail-Verifizierung vor der Wiederinbetriebnahme des Tools sicherzustellen. Darüber hinaus führt das Unternehmen eine umfassende Überprüfung ähnlicher Kontowiederherstellungsabläufe auf allen seinen Plattformen durch, um weitere potenzielle Schwachstellen zu identifizieren und zu beheben. ### Ein Muster von Sicherheitslücken Dieser Vorfall reiht sich in die Geschichte der Sicherheitsprobleme von **Meta** ein. In den Vorjahren sah sich das Unternehmen mit erheblichen Bußgeldern von irischen Regulierungsbehörden konfrontiert. Im Jahr 2022 wurde **Meta** mit einer Geldstrafe von 265 Millionen Euro (ca. 275,5 Millionen US-Dollar) belegt, weil es die Daten von **Facebook**-Nutzern nicht vor Scraping geschützt hatte, und mit einer früheren Strafe von 91 Millionen Euro (ca. 100 Millionen US-Dollar) für die Speicherung von Hunderten von Millionen von Benutzerpasswörtern im Klartext. Ein Datenleck im Jahr 2018 führte ebenfalls zu einer Geldstrafe von 264 Millionen US-Dollar, bei der persönliche Daten von über 29 Millionen **Facebook**-Konten offengelegt wurden. Diese wiederkehrenden Probleme unterstreichen die kritische Notwendigkeit kontinuierlicher Sicherheitsüberwachung, insbesondere bei der Integration fortschrittlicher KI-Systeme in sensible Prozesse wie die Kontowiederherstellung.